Windows 10/11を「パスワードレス」で運用する環境でのファイル共有
ASCII.jp / 2022年10月9日 10時0分
Windowsのネットワークで新しく接続したマシンのアイコンをクリックして開こうとすると、何回もパスワードを聞かれることがある。しかも接続先マシンに存在するユーザー名とパスワードを入れても「パスワードやユーザー名が違う」と言われたりもする。ところが別のマシンからは、すんなりと同じユーザー名でアクセスができるのだ。ユーザー名とパスワードの間違いではないのである。筆者の環境であったこの件について今回調べた。
![](https://ascii.jp/img/2022/10/08/3431902/x/01e69f2436580ce6.png)
なお、ファイル共有やユーザー認証に関しては、ドメイン環境とワークグループ環境で大きく違う。ここでは、会社などで利用しているドメイン環境(Active Directory環境)は対象外とさせていただく。
原因の1つはMicrosoftアカウントのパスワードレス化
Microsoftは、Windowsのパスワードレス化をWindows 10の頃から推進している。このパスワードレス化には、2つの意味があって、1つは「Microsoftアカウント」のパスワードレス化である。もう1つは、Windowsのパスワードレスログインだ。前者はFIDOを使い、アカウント自体をパスワードを使わないようにするもの。これはWindows 10 Ver.1809(RS5)で行なわれた。
Windows 10 Ver.1903(19H1)では、Windows 10/11に実装されているWindows HelloがFIDO2に対応した。これにより、Windows 10からのMicrosoftアカウントへのログインに認証が不要になった。
これに対して、パスワードレスログインとは、Windowsのログイン(サインインということもある)でパスワードによるログインを禁止し、Windows Helloによるログインのみにすることを指す。
Windows Helloには4桁の数字を使うPINも含まれるため、指紋リーダーや顔認証カメラがないマシンでも対応は可能だ。Windows 10 Ver.2004(20H1)で、セーフモードのログインがWindows HelloのPINに対応したことで可能になった。「設定」→「アカウント」→「サインインオプション」にある「セキュリティ向上のため、このデバイスではMicrosoftアカウント用にWindows Helloサインインのみを許可する」(Windows 11)、「MicrosoftアカウントにWindows Helloサインインを要求する」(Windows 10)をオンにすると、パスワードでのログインができなくなる。
このあたりについては、以前の回の「Windows 10、パスワードなしの世界へ一歩前進」で解説した。
ネットワーク共有では、「パスワード保護共有」がWindows 10でデフォルトで有効化されたため、最初にアクセスするときにユーザー名とパスワードを聞かれる。ただし、Windowsではネットワーク経由でパスワードを送信しないようになっているので、双方で同じ計算をして結果が一致すれば、アクセスが可能になる。この認証情報は記録され、次回以降のアクセスに使われるようだ。アクセスする側では、この情報はコントロールパネルの「資格情報マネージャー」で見ることができる。
このため、過去にアクセスしたネットワーク共有に関しては、そのままアクセスが可能だ。筆者の環境で見る限り、どうもサーバー側でパスワードがなくなっても、過去に記録した認証情報が残ったままになっていれば、同じようにパスワードでアクセスが可能になるケースがあった。このため、同じMicrosoftアカウントなのにパスワードで認証できる共有とそうでない共有が混在するようだ。
Microsoftアカウントがパスワードなしになり、Windows 11のように最初からスマートフォンのAuthenticatorアプリで認証して、パスワードなしログインが可能になると、パスワードはどこにも記録されていない形になる。そうなると、ネットワークアクセス時のユーザー名とパスワードでの認証自体が不可能になる。
考えられる対策は2つ 「パスワード保護共有」を止めるか ローカルアカウントを登録するか
対策としては2つが考えられる。1つは、ネットワーク共有の「パスワード保護共有」を止めることだ。この方法は、ファイルをすべて見せてしまうように思えるが、実際には組み込みアカウントのGuest(デフォルトではパスワードなし)を使ってアクセスをするので、Guestアカウントに対してアクセス許可のあるディレクトリしかアクセスできない。
設定は「設定」→「ネットワークとインターネット」→「ネットワークの詳細設定」→「共有の詳細設定」→「すべてのネットワーク」→「パスワード保護共有」でする。この項目を「オフ」にすることで、ネットワーク共有のアクセス時にユーザー認証をしなくなる。
![](https://ascii.jp/img/2022/10/08/3431903/x/b392fb69cbf6fa07.png)
この機能をオフにしても、初回のみ「ネットワーク資格情報の入力」ダイアログが表示されることがある。適当なユーザー名、パスワードを入れると先に進めるが、正しいユーザー名を入れてしまうとエラーになって先に進めないことがある。
もう1つは、ネットワークアクセス用のローカルアカウントをサーバー側(共有を提供する側)に登録して、これを使ってアクセスする方法だ。新規のローカルアカウントは、「設定」→「アカウント」→「その他のユーザー」で作成できるが、コマンドラインから
net user ユーザー名 パスワード /ADD
で作成することも可能だ(要管理者権限)。
Home以外であれば、グループポリシーツールの「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「ユーザー権利の割り当て」→「ローカルログオンを拒否」に、作成したローカルアカウントを登録すれば、少なくともロック画面には表示されなくなる。
ローカルアカウントを使う方法でも、ディレクトリに対してアクセス許可が必要となるが、これはEveryoneでもかまわない。要は、共有ディレクトリがローカルアカウントでアクセス許可になっていればよい。
どちらもアクセス許可をしなければならない点は同じだが、パスワード保護共有をオフにする方法では、アクセス許可を与えたディレクトリには、誰でもパスワードなしのGuestアカウントでアクセスができてしまう。また、Guestアカウントにパスワードを付けると、自動的に「パスワード保護共有」がオンになる。なので、パスワード保護共有をオフにしたとき、特定のユーザーのみにアクセスを制限することはできない。
これに対して、ローカルアカウントを使う方法では、ローカルアカウントのパスワードを知っている場合のみアクセスが可能になる。ファイルアクセスを制御するという点では、ローカルアカウントを使う方法のほうがメリットがあるだろう。特に、外部に持ち出すようなノートPCでは後者の方法をオススメする。
どちらの場合も、共有フォルダーのプロパティにある「共有」タブでアクセス許可を出すことができる。ここには、「ネットワークのファイルとフォルダーの共有」と「詳細な共有」の2つがあるが、基本的にはどちらも同じ結果になる。ただ、Guestの扱いが異なるらしく、それぞれでGuestに対するアクセス許可が異なった状態になってしまうことがある。「パスワード保護共有」をオフにする場合、共有をどちらでするか統一しておいたほうがいいだろう。
Windows 10/11では、ユーザーや認証処理が大きく変化したが、ネットワークアクセスなど、関連機能の改良が後回しになったため、ときどき問題が起きることがある。過去には仮想マシンでパスワードなし認証を設定するとログインができなくなったこともあった。昔からワークグループ環境は置いてけぼり感がある。せっかく標準で有効にした「パスワード保護共有」なので、できれば、PINや生体認証などでも認証できるようにしてほしいところだ。
この記事に関連するニュース
-
ランサムウェアの被害に遭った時に必要なパスワードリセットのポイント
マイナビニュース / 2024年6月21日 10時58分
-
Copilot+ PCの「Recall」機能はInsiderプログラムから - 阿久津良和のWindows Weekly Report
マイナビニュース / 2024年6月16日 16時0分
-
MicrosoftがRecallの仕様変更を発表、PCセットアップ時に機能の選択可能に
マイナビニュース / 2024年6月10日 13時21分
-
Microsoft、Copilot+ PCの新AI機能「Recall」のセキュリティを強化、"要オプトイン"に
マイナビニュース / 2024年6月8日 8時28分
-
Microsoft、Copilot+ PCの「Recall」(回顧)をオプトインに プライバシー懸念受け
ITmedia NEWS / 2024年6月8日 8時14分
ランキング
-
1Amazon、10回目の「プライムデー」を7月16日から2日間開催 100万点以上が“特別価格“に
ITmedia NEWS / 2024年6月25日 21時15分
-
2「昔のミスド良すぎる」「復活してほしい!」 30年以上前の“ミスドのドーナツ”に復活求める声相次ぐ
ねとらぼ / 2024年6月26日 12時30分
-
3「GTO」出演後、消息をたった“幻の男”が登場 菊池風磨&小芝風花が再会し「変わってない!」と喜び
ねとらぼ / 2024年6月24日 20時8分
-
4「虎に翼」、髪の毛ボサボサな新キャラに驚きの声 「化けてるよ凄っ」「どこかで見たお顔? と思ったら」
ねとらぼ / 2024年6月25日 18時22分
-
5いつでもどこでもSFCを美麗画面で!携帯型SFC互換機「IPS 16ビットポケットHD」発表―2024年9月下旬発売予定
Game*Spark / 2024年6月26日 11時36分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)